Hacker Bisa Mencuri Password Anda Hanya dengan Memantau Sensor SmartPhone

0
2292

Tahukah Anda berapa banyak jenis sensor yang dimiliki smartphone Anda? Dan data apa yang mereka kumpulkan tentang kegiatan fisik dan digital Anda?

Smartphone rata-rata akhir-akhir ini dikemas dengan beragam sensor seperti GPS, Camera, mikrofon, accelerometer, magnetometer, proximity, giroskop, pedometer, dan NFC, untuk beberapa nama.

Sekarang, menurut tim ilmuwan dari Universitas Newcastle di Inggris, peretas berpotensi menebak PIN dan kata kunci – yang Anda masukkan di situs web bank, aplikasi, layar kunci Anda – sampai tingkat akurasi yang mengejutkan dengan memantau sensor ponsel Anda, Seperti sudut dan gerak telepon Anda saat Anda mengetik.

Bahaya tersebut terjadi karena situs web dan aplikasi berbahaya mengakses sebagian besar sensor internal ponsel cerdas tanpa meminta izin untuk mengaksesnya – tidak masalah walaupun Anda mengakses situs web aman melalui HTTPS untuk memasukkan kata sandi Anda.

Telepon Anda tidak Membatasi Aplikasi dari Mengakses Data Sensor

Aplikasi smartphone Anda biasanya meminta izin Anda untuk memberi mereka akses ke sensor seperti GPS, kamera, dan mikrofon.

Namun karena booming dalam game mobile dan aplikasi kesehatan dan kebugaran selama beberapa tahun terakhir, sistem operasi mobile tidak membatasi aplikasi terinstal untuk mengakses data dari kebanyakan sensor gerak seperti accelerometer, giroskop, NFC, gerakan dan kedekatan.

Aplikasi berbahaya apa pun dapat menggunakan data ini untuk tujuan jahat. Hal yang sama juga berlaku untuk situs web yang cacat.

“Sebagian besar smartphone, tablet dan perangkat lain yang dapat dipakai sekarang dilengkapi dengan banyak sensor, mulai dari GPS, kamera, dan mikrofon yang terkenal hingga instrumen seperti giroskop, proximity, NFC, dan sensor rotasi dan accelerometer,” Dr. Maryam Mehrnezhad , Peneliti utama kertas tersebut, mengatakan menjelaskan penelitian tersebut.

“Tapi karena aplikasi dan situs web seluler tidak perlu meminta izin untuk mengakses sebagian besar dari mereka, program jahat dapat diam-diam ‘mendengarkan’ data sensor Anda dan menggunakannya untuk menemukan berbagai informasi sensitif tentang Anda seperti waktu panggilan telepon. , Aktivitas fisik dan bahkan tindakan sentuh, PIN dan kata sandi Anda. “

Para ilmuwan bahkan telah menunjukkan adanya serangan yang bisa merekam data dari sekitar 25 sensor di sebuah smartphone. Mereka juga telah memberikan demonstrasi video tentang serangan mereka, menunjukkan bagaimana skrip berbahaya mereka mengumpulkan data sensor dari perangkat iOS.

Tim tersebut menulis file Javascript yang berbahaya dengan kemampuan untuk mengakses sensor ini dan mencatat data penggunaan mereka. Skrip berbahaya ini dapat disematkan di aplikasi seluler atau dimuat di situs web tanpa sepengetahuan Anda.

Sekarang semua penyerang perlu adalah untuk mengelabui korban baik menginstal aplikasi berbahaya atau mengunjungi situs nakal.Setelah ini dilakukan, apa pun jenis korban di perangkatnya sementara aplikasi jahat atau situs web yang berjalan di latar belakang teleponnya, skrip berbahaya akan terus mengakses data dari berbagai sensor dan mencatat informasi yang diperlukan untuk menebak PIN atau kata sandi dan Lalu kirimkan ke server penyerang.

Menebak PIN dan Password dengan Akurasi Tingkat Tinggi

Periset mampu menebak empat digit PIN pada percobaan pertama dengan ketepatan 74% dan pada percobaan kelima dengan akurasi 100% berdasarkan data yang tercatat dari 50 perangkat dengan menggunakan data yang dikumpulkan dari hanya sensor gerak dan orientasi, yang tidak memerlukan Izin khusus untuk mengakses

Para ilmuwan bahkan dapat menggunakan data yang dikumpulkan untuk menentukan di mana pengguna mengetuk dan menggulir, apa yang mereka ketik di halaman web mobile dan bagian dari halaman yang mereka klik.

Periset mengatakan bahwa penelitian mereka tidak lain adalah untuk meningkatkan kesadaran terhadap beberapa sensor di sebuah smartphone yang dapat diakses aplikasi tanpa izin apapun, dan karena vendor mana yang belum memasukkan batasan dalam model perizinan bawaan standar mereka.

“Terlepas dari risiko yang sangat nyata, ketika kami meminta orang-orang yang sensornya paling mereka khawatirkan, kami menemukan korelasi langsung antara risiko dan pemahaman yang dirasakan,” kata Mehrnezhad. “Jadi orang jauh lebih memperhatikan kamera dan GPS daripada sensor diam.”

Mehrnezhad mengatakan bahwa tim tersebut telah memberi tahu penyedia browser terkemuka seperti Google dan Apple mengenai risikonya, dan sementara beberapa, termasuk Mozilla dan Safari , telah memperbaiki masalah ini, tim tersebut masih bekerja dengan industri tersebut untuk menemukan solusi yang ideal.

Detail teknis lebih lanjut dapat ditemukan di makalah penelitian lengkap, berjudul “Mencuri PIN melalui sensor ponsel: risiko aktual versus persepsi pengguna,” yang diterbitkan pada hari Selasa di International Journal of Information Security.